秘密資料流出防止システム、判定装置、秘密資料流出防止方法およびプログラム
【課題】文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐ。
【解決手段】秘密資料流出防止システムは、ファイルデータから特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、所定単位別の画像データ各々から特徴量を抽出する特徴量抽出手段と、保護対象ファイルの情報として、所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、出力対象ファイルのファイルデータから所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、画像の同一性を判断することにより、出力要求の許否を判定する判定手段とを備えたことを特徴とする。
【解決手段】秘密資料流出防止システムは、ファイルデータから特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、所定単位別の画像データ各々から特徴量を抽出する特徴量抽出手段と、保護対象ファイルの情報として、所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、出力対象ファイルのファイルデータから所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、画像の同一性を判断することにより、出力要求の許否を判定する判定手段とを備えたことを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、秘密資料の流出を防止するための秘密資料流出防止システム、判定装置、秘密資料流出防止方法および秘密資料流出防止プログラムに関する。
【背景技術】
【0002】
故意または不注意による秘密情報の外部漏洩や盗用が後を絶たず、その大きな原因の一つとして電子メールに添付された電子データのやりとりが挙げられる。秘密情報の漏洩を防止する方法として、電子ファイルの利用に制限を掛けたり、予め指定したキーワードを含む添付ファイルを検知することにより防止する方法がある。
【0003】
しかし、内容をイメージとして出力可能な電子ファイルは、その一部をコピーして再利用されてしまうと、データの流通を防ぐことは難しい。例えば、PowerPoint(登録商標)やPDFファイルの場合、その一部を画像として他の文書ファイルにコピーされてしまうと、電子ファイル単位の利用制限やキーワード検索では、その漏洩を検知することは難しい。
【0004】
機密文書の漏洩防止技術に関して、例えば、特許文献1には、機密文書とされる印刷文書や電子ファイルのイメージ画像、イメージ画像から抽出される特徴量を登録しておき、自装置における画像の入出力処理の開始を検知すると、処理対象画像のイメージ画像等を機密文書管理装置に送信して、処理対象画像が登録した機密文書の画像と一致するか否かを判定する文書処理システムが記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−042636号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
故意または不注意による秘密情報の外部漏洩や盗用が後を絶たず、その大きな原因のひとつとして電子メールに添付された電子データのやりとりが挙げられる。漏洩を防止する方法として、電子ファイルの利用に制限を掛けたり、あらかじめ指定したキーワードを含む添付ファイルを検知したりする方法があるが、PowerPointやPDFファイルの一部を画像としてコピーして再利用されてしまうとデータの流通を防ぐことは難しい。
【0007】
なお、特許文献1には、機密文書管理装置が、文書処理装置から受信したイメージ画像やイメージ画像から抽出した特徴量およびテキスト情報にて画像インデックスを検索し、処理対象画像と完全に一致するだけでなく、処理対象画像と部分的に一致する所定のしきい値を超える類似度の登録データがある場合にも当該処理対象画像を機密文書と判定する旨が記載されている。しかし、特許文献1に部分一致の判定手法について具体的な記載はなく、例えば、処理対象ファイルの一部と、機密文書として登録された文書ファイルの一部とが一致していた場合にそれを検出できるかどうかは定かではない。あくまで機密文書として登録された印刷文書や文書ファイル単位に類似度を算出して判定を行う場合、一致するか否かがファイル全体に占める類似部分の割合に応じて異なるといったことも考えられる。
【0008】
また、特許文献1に記載されている文書処理システムでは、自装置が画像の入出力処理の開始を検知した場合にその処理対象画像のイメージ画像等を機密文書管理装置に送信する方法をとっているため、利用者が使用する端末全てに画像の入出力の監視用プログラム等をインストールしなければ、秘密情報を含んだ画像データの流出を防ぐことができないといった問題もある。
【0009】
そこで、本発明は、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことが可能な秘密資料の流出を防止するための秘密資料流出防止システム、判定装置、秘密資料流出防止方法および秘密資料流出防止プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明による秘密資料流出防止システムは、秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する保護対象ファイルデータ入力手段と、入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、画像変換手段によって得られる所定単位別の画像データ各々から、特徴量を抽出する特徴量抽出手段と、保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、外部機器への出力要求がされたファイルである出力対象ファイルを入力する出力対象ファイルデータ入力手段と、出力対象ファイルデータ入力手段により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、保護対象ファイル情報記憶手段に記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する判定手段とを備えたことを特徴とする。
【0011】
また、本発明による判定装置は、外部機器への出力要求がされたファイルである出力対象ファイルのファイルデータから変換される所定単位別の画像データであって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位別の画像データ各々から特徴量を抽出し、抽出された各画像データの特徴量各々と、所定の記憶手段に秘密情報を含むとされるファイルである保護対象ファイルの情報として記憶されている、当該保護対象ファイルのファイルデータから変換される所定単位別の各画像データから抽出された特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する判定手段を備えたことを特徴とする。
【0012】
また、本発明による秘密資料流出防止方法は、秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶しておき、外部機器への出力要求がされたファイルである出力対象ファイルを入力し、出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定することを特徴とする。
【0013】
また、本発明による秘密資料流出防止プログラムは、秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象フィル情報記憶手段を備えた、または保護対象フィル情報記憶手段にアクセス可能なコンピュータに、外部機器へのファイルデータの出力要求が検知されると、検知された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する処理を実行させることを特徴とする。
【発明の効果】
【0014】
本実施例によれば、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことができる。
【図面の簡単な説明】
【0015】
【図1】本発明による秘密資料流出防止方法を適用した資料管理システムの構成例を示すブロック図である。
【図2】(A)は、文書DB34に記憶される文書情報の例を示す説明図であり、(B)は、特徴量DB35に記憶される特徴量情報の例を示す説明図である。
【図3】本実施形態の資料管理システムの動作(資料作成動作)の一例を示すシーケンス図である。
【図4】本実施形態の資料管理システムの動作(複製資料添付メール送信動作)の一例を示すシーケンス図である。
【図5】画像データ間の同一性判断対象の例を示す説明図である。
【図6】本発明の概要を示すブロック図である。
【図7】本発明による秘密資料流出防止システムの他の構成例を示すブロック図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施形態を図面を参照して説明する。図1は、本発明による秘密資料流出防止方法を資料管理システムに適用した場合の構成例を示すブロック図である。図1に示す資料管理システムは、資料作成者端末10と、資料複製者端末20と、文書管理サーバ30と、特徴量抽出サーバ40と、判定サーバ50と、メールサーバ60とを備える。また、これらの資料作成者端末10、資料複製者端末20、文書管理サーバ30、特徴量抽出サーバ40、判定サーバ50、メールサーバ60は、プログラム制御により動作するサーバ装置またはパーソナルコンピュータ、携帯端末装置等の情報処理装置であって、インターネット等のネットワーク100を介して相互に接続されている。
【0017】
資料作成者端末10は、パーソナルコンピュータ等の情報処理装置であり、ユーザ操作に応じて文書管理サーバ30にアクセスして、PowerPointやPDF形式のファイルデータをネットワーク100を介して送信することによって資料を作成する。
【0018】
資料複製者端末20は、パーソナルコンピュータ等の情報処理装置であり、ユーザ操作に応じて文書管理サーバ30にアクセスしてPowerPointやPDF形式のファイルデータを編集する。また、編集したファイルデータを添付した電子メールをネットワーク100を介して判定サーバ50に送信する機能を備えている。
【0019】
文書管理サーバ30は、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。文書管理サーバ30は、文書記録部31と、特徴量記録部32と、特徴量送信部33と、文書データベース(DB)34と、特徴量DB35とを含む。
【0020】
文書記憶部31は、資料作成者端末10から受信したファイルデータの文書情報341を文書管理DB34に記録する。特徴量記録部32は、ファイルデータから抽出された特徴量の特徴量情報351を特徴量DB35に記録する。特徴量送信部33は、特徴量DB35に記憶された特徴量情報を参照して、ネットワーク100を介して判定サーバ40に送信する。
【0021】
文書DB34は、文書情報341を記憶するデータベースである。特徴量DB35は、特徴量情報351を記憶するデータベースである。
【0022】
図2(A)は、文書DB34に記憶される文書情報341の例を示す説明図であり、図2(B)は、特徴量DB35に記憶される特徴量情報351の例を示す説明図である。図2(A)に示すように、文書情報341は、文書ファイルを識別するための文書コードと、ファイル名と、ファイルデータと、作成者と、作成日とを含んでいてもよい。すなわち、文書情報341は、文書コードと、当該文書ファイルのファイルデータと、当該文書ファイルのメタデータとであってもよい。なお、本実施形態において、保護対象の文書ファイルは、機密とする情報が含まれうるファイルであればよく、ファイル形式は問わない。また、各ファイルは、文字情報を含んでいてもよいし、含んでいなくてもよい。なお、保護対象とする文書ファイルのファイル形式には、PowerPoint(登録商標)やPDFファイルといった外部に対して内容をイメージで出力するような形式のファイルや、データ内容に図や数式といったテキスト以外の情報を含みうるようなファイル形式を含んでいることがより好ましい。
【0023】
また、図2(B)に示すように、特徴量情報351は、特徴量データを識別するための特徴量コードと、特徴量の抽出元となった文書ファイルの文書コードと、特徴量の抽出対象範囲を識別するための識別情報としてのページ番号と、実際に抽出された特徴量を示す特徴量データとを含んでいてもよい。本発明では、特徴量は、ファイルをアーカイブする時に、後述する特徴量抽出サーバ40によってスライド毎、ページ毎、ブック毎といった当該ファイルの所定の区切り単位毎に抽出される。なお、ファイルデータから識別可能な範囲において、ページ毎と、図面毎といったように複数の異なる単位を特徴量抽出単位として設けることも可能である。特徴量抽出単位は、少なくとも当該ファイルのデータを区切るために用いられる区切り単位をその一つに含むものとする。これにより、ファイルデータの網羅性を確保する。区切り単位として、例えば、ユーザの利用態様を考慮し、当該ファイルを印刷する際に当該ファイルの出力イメージを区切るために標準的に用いられる単位の中から区切られた際の印刷領域が最も小さくなる単位(以下、標準出力最小単位という)としてもよい。以下、本実施形態では、ページ毎に特徴量を抽出する場合を例に説明している。
【0024】
特徴量抽出サーバ40は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。特徴量抽出サーバ40は、画像変換部41と、特徴量抽出部42と、記録部43と、特徴量送信部44とを含む。
【0025】
画像変換部41は、判定サーバ50から受信したファイルデータを所定の区切り単位で画像ファイルに変換する。特徴量抽出部42は、画像変換部41によって変換された各画像ファイルの特徴量をビデオシグネチャ技術を利用して抽出する。記憶部43は、特徴量抽出部42によって抽出された特徴量を格納する。特徴量送信部44は、記録部43に格納された特徴量をネットワーク100を介して文書管理サーバ30、判定サーバ50に送信する。
【0026】
判定サーバ50は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。判定サーバ50は、ファイル抽出部51と、特徴量参照部52と、比較部53と、判定部54と、記録部55とを含む。
【0027】
ファイル抽出部51は、資料複製者端末20から受信した電子メールの添付ファイルデータを抽出する。特徴量参照部52は、文書管理サーバ30にネットワーク100を介してアクセスして特徴量DB35を参照(取得)する。比較部53は、特徴量参照部52が参照した特徴量と記録部55に格納された特徴量とを比較する。判定部54は、比較部53による比較結果からメールの送信可否を判定し、資料複製者端末20またはメールサーバ60に処理を指示する。記録部55は、ファイル抽出部51により抽出された添付ファイルデータの特徴量を格納する。
【0028】
メールサーバ60は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置であって、判定サーバ50から送信が許可された電子メールを配信する。
【0029】
次に、本実施形態の動作について説明する。図3および図4は、本実施形態の資料管理システムの動作の一例を示すシーケンス図である。なお、図3が本システムによる資料作成動作の一例を示すシーケンス図であり、図4が本システムによる複製資料添付メール送信動作の一例を示すシーケンス図である。
【0030】
まず、資料作成動作について説明する。図3に示す例では、まず、資料作成者が、資料作成者端末10を操作して、文書管理サーバ30に新規文書ファイルAの文書情報(ファイル名、ファイルデータ、作成者、作成日など)を送信する(ステップA1)。
【0031】
資料作成者端末10は、例えば、ユーザ操作に応じて新規文書情報登録用のURLにアクセスしてもよい。文書管理サーバ30では、これに応答して、文書情報登録画面データを資料作成者端末10に送信する。そして、資料作成者端末10が、受信したデータから画面文書情報登録画面を表示し、表示された文書情報登録画面に対するユーザ操作に応じて、文書ファイルAの文書情報を文書管理サーバ30に送信してもよい。
【0032】
文書サーバ30の文書記録部31は、資料作成者端末10から文書情報を受信すると、ファイルデータを特徴量抽出サーバ40に送信する(ステップA2)。その際、当該ファイルデータがどのファイルのファイルデータなのかを識別するために文書コード(ここでは、当該ファイルを登録対象ファイルとして識別可能な文書コード)を割り当てて、割り当てた文書コードとともに送信してもよい。
【0033】
特徴量抽出サーバ40では、画像変換部41が、受け取ったファイルデータを1ページ単位の画像データ(JPEG形式等)に変換する(ステップA3)。文書ファイルのファイルデータを画像データに変換する方法は、例えば、PowerPointの機能やPDFファイルをイメージ化する既存のソフトウェアなどを用いて、対象ファイルの各ページの印刷画像の画像データを生成してもよい。画像変換部41は、変換によって得られたページ別の画像データを一時的に記録部43に格納する。なお、複数の単位が特徴量抽出単位として設けられている場合には、それぞれの単位に合わせて画像データに変換すればよい。例えば、定められた区切り単位毎に画像データに変換した後で、その画像データを画像認識し、図面や表とみられる領域が検出された場合にはその領域の画像データを図面別の画像データや表別の画像データとして生成するといったことも考えられる。
【0034】
次いで、特徴量抽出部42は、画像変換部41によって得られたページ別画像データからそれぞれ特徴量を抽出し、ページ番号と特徴量データとを対応づけて特徴量情報にして記録部43に格納する(ステップA4)。
【0035】
特徴量の抽出方法として、本発明では、ビデオシグネチャ技術を用いる。ビデオシグネチャ技術として、例えば、特願2009−012810に記載された技術を用いてもよい。より具体的には、1つの画像データについて、当該画像データで表される画像(表示イメージ)をさまざまな大きさや形状の領域に分割して領域の特徴量を抽出し、領域同士の領域特徴量の比較結果を量子化した量子化インデックス(画像識別子)を複数の次元で求めたものを当該画像を識別するための特徴量としてもよい。なお、領域特徴量として、例えば、輝度値の平均値やRGB成分の平均ベクトル、エッジの方向分布を表す5ビンのヒストグラムが挙げられる。なお、特徴量抽出部42は、各画像データで表される画像のサイズが異なる場合には、各画像データで表される画像のサイズが一定になるように、画像データに対して画像サイズの調整処理(画像の拡大または縮小処理)を施した上で、特徴量を抽出してもよい。なお、画像サイズの調整処理は、画像変換部41が画像データに変換する際に行ってもよい。
【0036】
このようにして文書ファイルAについての特徴量情報が生成されると、特徴量送信部44は、生成した特徴量情報を、要求元である文書管理サーバ30に送信する(ステップA5)。
【0037】
文書管理サーバ30では、特徴量記録部32が、特徴量抽出サーバ40から登録対象ファイルについての特徴量情報を受信すると、当該特徴量情報について特徴量コードを新たに割り当てて、文書コードによって文書情報341と特徴量情報351とを紐付けつつ、それぞれ文書DB34と特徴量DB35に記録する(ステップA6)。このようにして、本システムが保護対象とする文書ファイルの情報を文書管理サーバ40に格納していく。
【0038】
次に、図4を参照して、本システムによる複製資料添付メール送信動作について説明する。図4に示す例では、資料複製者が、資料複製者端末20を操作して、文書ファイルAの一部を画像として文書ファイルBにコピーする(ステップB1)。さらに、資料複製者は、資料複製者端末10を操作して、文書ファイルBを添付した電子メールを送信する(ステップB2)。
【0039】
資料複製者端末20は、例えば、ユーザ操作に応じて、文書ファイルAの一部を画像としてコピーし、文書ファイルBに貼り付けて保存する。そして、ユーザ操作に応じて、保存した文書ファイルB(文書ファイルAの内容の一部を画像情報として含むファイル)を添付した電子メールを作成し、ユーザからの送信指示に応じてメールサーバ60に向けて送信する。
【0040】
このとき、本実施形態では、資料複製者端末20によるメールサーバ60への電子メール送信要求メッセージを判定サーバ50がまず受信する。例えば、内部ネットワークから外部ネットワークへの中継を行うプロキシサーバの設定によって判定サーバ50に転送されるようにしてもよい。なお、メールサーバ60に先だって受け取る態様の他に、メールサーバ60から送信可否の判定を依頼する形で転送する態様でもよい。換言すると、システムが備えるネットワークノードにおいて、ファイルデータまたは画像データを外部ネットワーク宛てに送信する要求を検知する外部出力要求検知手段を備えていればよい。なお、ネットワークを介したデータ送信に限らず、外部機器(認証されていない周辺機器等)へのデータ出力をも監視対象に含める場合には、端末上で動作するソフトウェアに、外部機器へのデータ出力要求を検知する外部出力要求検知手段を実装してもよい。
【0041】
判定サーバ50のファイル抽出部51は、資料複製者端末10から受信した電子メールに添付された文書ファイルB(出力対象ファイル)ファイルデータを抽出し、特徴量抽出サーバ30に送信する(ステップB3)。その際、文書ファイルBのファイルデータとともに、当該ファイルに対して新たに割り当てた文書コード(当該ファイルを出力文書として識別可能な文書コード)を送信してもよい。
【0042】
特徴量抽出サーバ40では、まず画像変換部41が、判定サーバ50から受け取ったファイルデータを、例えば1ページ単位の画像データ(JPEG形式等)に変換する(ステップB4)。画像変換部41は、変換によって得られたページ別の画像データを、一時的に記録部43に格納してもよい。次いで、特徴量抽出部42は、画像変換部41によって得られたページ別画像ファイルからそれぞれ特徴量を抽出して特徴量情報(この時点では、ファイルデータの文書コードと、各ページのページ番号と特徴量データとを含んでいればよい)を生成し、記録部43に格納する(ステップB5)。このようにして文書ファイルBについての特徴量情報が生成されると、特徴量送信部44は、生成した特徴量情報を、要求元である判定サーバ50に送信する(ステップB6)。
【0043】
判定サーバ50では、特徴量抽出サーバ40から出力対象ファイルについての特徴量情報を受信すると、受信した特徴量情報を一旦記録部55に格納した上で、参照部52が、文書管理サーバ40にアクセスし、特徴量DB35に格納されている各文書ファイル(保護対象ファイル)についての特徴量情報を参照する(ステップB7)。
【0044】
判定部54は、記録部55に格納されている判定対象である文書ファイルB(出力対象ファイル)についての特徴量情報に含まれている各ページの特徴量データそれぞれと、参照部52により参照された各保護対象ファイルについての特徴量情報に含まれている各ページの特徴量データそれぞれとを比較する(ステップB8)。なお、本実施形態では、参照処理と比較処理とが最終的に全ての保護対象ファイルに対して行われればよく、保護対象ファイルを一括参照するか順次参照するかは問わない。
【0045】
図5は、画像データ間の同一性判断対象の例を示す説明図である。なお、図5では、出力対象ファイルの画像データとして2つの画像データが生成された場合を例示している。また、保護対象ファイルとして2つのファイル(保護対象ファイル1、2)が文章DB34に登録されており、保護対象ファイル1の画像データとして3つの画像データが生成され、保護対象ファイル2の画像データとして1つの画像データが生成された場合を示している。図5に示す例では、判定部54は、出力対象ファイルの各画像データと、保護対象ファイル1、2の各画像データとの間で、計8パターンの組み合わせの画像データの同一性判断処理が行われることになる。
【0046】
ステップB8において、一致する特徴量データが1つでも存在場合、すなわち出力対象ファイルのあるページの画像データと全ての保護対象ファイルのあるページの画像データとの間で画像の同一性があると判断される程度に特徴量データが一致した場合には、判定部54は、出力対象ファイルに機密情報が含まれていると判断して、当該ファイルの出力処理を行った資料複製者端末20に警告画面を表示する(ステップB9)。特徴量データに基づく画像の同一性判断の具体的方法としては、例えば、特徴量として上述のビデオシグネチャ技術により求まる複数の次元の量子化ベクトルを用いる場合には、各次元での量子化インデックス値を比較し、画像データ全体での不一致指数(不一致の次元数や各次元での差分値の合計等から求める値)が所定の閾値%以内であれば同一性が認められるとしてもよい。
【0047】
一方、一致する特徴量データが存在しなかった場合、判定部54は、出力対象ファイルに機密情報が含まれていないとして、当該ファイルを添付した電子メールを本来の送信先であるメールサーバ60に送信する(ステップB10)。メールサーバ60より送信可否の問い合わせという形式で出力対象ファイルのファイルデータを受信していた場合には、判定部54は、問い合わせ元であるメールサーバ60に送信可の旨の応答を送信してもよい。
【0048】
メールサーバ60は、判定サーバ50から受信した電子メール、すなわち送信が許可された電子メールを配信する(ステップB11)。
【0049】
以上のように、本実施形態によれば、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことができる。登録側と出力側のファイルそれぞれについて所定の区切り単位で画像データに変換し、各画像データ間の同一性を判断するからである。さらに、各画像データ間の同一性の判断方法にビデオシグネチャ技術を利用して抽出した特徴量を使用することで、テキストによるキーワード検索では検出されないような画像データの再利用を高い検出率で検出することができる。例えば、一部に加筆があったり、ページ内の1図面のみがコピーされたというようなページ全体の内容としては完全には一致していない場合であっても、高い検出率でデータの再利用を検出することができる。
【0050】
なお、上記実施形態では、ファイル出力方法の例として、電子メールに添付して送信する例を示したが、ファイル出力方法は当該方法に限らず、ネットワークノードにおいてファイルまたは画像データが外部に出力されることを認識できるようなプロトコルであれば、同様の方法により適用可能である。例えば、FTPによるファイル転送や、データ要素に画像データを含むよう記述されたHTMLデータの送信であってもよい。
【0051】
また、上記実施形態では、特徴量の比較において、全保護対象ファイルを対象とする例を示したが、例えば、保護対象ファイルのデータ再利用時(例えば、文書ファイルからデータをコピーして貼り付けるする際)に文書コードを記憶する仕組みを有している場合には、出力対象ファイルに利用元(コピー元)ファイルとして記憶のある保護対象ファイルのみを比較対象とすることも可能である。
【0052】
次に、本発明の概要について説明する。図6は、本発明の概要を示すブロック図である。図6に示すように、本発明による秘密資料流出防止システムは、保護対象ファイルデータ入力手段101と、画像変換手段102と、特徴量抽出手段103と、保護対象ファイル情報記憶手段104と、出力対象ファイルデータ入力手段105と、判定手段106とを備えている。
【0053】
保護対象ファイルデータ入力手段101(例えば、文書記録部31)は、秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する。
【0054】
画像変換手段102(例えば、画像変換部41)は、入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する。
【0055】
特徴量抽出手段103(例えば、特徴量抽出部42)は、画像変換手段102によって得られる所定単位別の画像データ各々から、特徴量を抽出する。
【0056】
保護対象ファイル情報記憶手段104(例えば、文書DB34)は、保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する。
【0057】
出力対象ファイルデータ入力手段105(例えば、ファイル抽出部51)は、外部機器への出力要求がされたファイルである出力対象ファイルを入力する。
【0058】
判定手段106(例えば、参照部52、比較部53、判定部54)は、出力対象ファイルデータ入力手段105により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、保護対象ファイル情報記憶手段104に記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する。
【0059】
また、特徴量抽出手段は、ビデオシグネチャ技術を用いて画像データから特徴量を抽出してもよい。
【0060】
また、区切り単位として、標準出力最小単位を用いてもよい。また、区切り単位として、ページ単位、スライド単位またはブック単位を用いてもよい。また、特徴量の抽出単位とする所定単位として、複数の異なる単位を定めてもよい。
【0061】
また、図7に示すように、秘密資料流出防止システムは、さらに、当該システムが備えるネットワークノードにおいて、ファイルを添付した電子メールの送信要求を検知する外部出力検知手段107(例えば、メールサーバ60または図示しないプロキシサーバ)を備えていてもよい。
【産業上の利用可能性】
【0062】
本発明は、特に、故意または不注意による秘密情報の外部漏洩や盗用を防止する用途に好適に適用可能である。また、クラウド環境において秘密情報を含む文書ファイルを利用する形態において、好適に適用可能である。
【符号の説明】
【0063】
100 ネットワーク
10 資料作成者端末
20 資料複製者端末
30 文書管理サーバ
31 文書記録部
32 特徴量記録部
33 特徴量参照部
34 文書DB
35 特徴量DB
40 特徴量抽出サーバ
41 画像変換部
42 特徴量抽出部
43 記録部
50 判定サーバ
51 ファイル抽出部
52 参照部
53 比較部
54 判定部
55 記録部
101 保護対象ファイルデータ入力手段
102 画像変換手段
103 特徴量抽出手段
104 保護対象ファイル情報記録手段
105 出力対象ファイルデータ入力手段
106 判定手段
107 外部出力検知手段
【技術分野】
【0001】
本発明は、秘密資料の流出を防止するための秘密資料流出防止システム、判定装置、秘密資料流出防止方法および秘密資料流出防止プログラムに関する。
【背景技術】
【0002】
故意または不注意による秘密情報の外部漏洩や盗用が後を絶たず、その大きな原因の一つとして電子メールに添付された電子データのやりとりが挙げられる。秘密情報の漏洩を防止する方法として、電子ファイルの利用に制限を掛けたり、予め指定したキーワードを含む添付ファイルを検知することにより防止する方法がある。
【0003】
しかし、内容をイメージとして出力可能な電子ファイルは、その一部をコピーして再利用されてしまうと、データの流通を防ぐことは難しい。例えば、PowerPoint(登録商標)やPDFファイルの場合、その一部を画像として他の文書ファイルにコピーされてしまうと、電子ファイル単位の利用制限やキーワード検索では、その漏洩を検知することは難しい。
【0004】
機密文書の漏洩防止技術に関して、例えば、特許文献1には、機密文書とされる印刷文書や電子ファイルのイメージ画像、イメージ画像から抽出される特徴量を登録しておき、自装置における画像の入出力処理の開始を検知すると、処理対象画像のイメージ画像等を機密文書管理装置に送信して、処理対象画像が登録した機密文書の画像と一致するか否かを判定する文書処理システムが記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−042636号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
故意または不注意による秘密情報の外部漏洩や盗用が後を絶たず、その大きな原因のひとつとして電子メールに添付された電子データのやりとりが挙げられる。漏洩を防止する方法として、電子ファイルの利用に制限を掛けたり、あらかじめ指定したキーワードを含む添付ファイルを検知したりする方法があるが、PowerPointやPDFファイルの一部を画像としてコピーして再利用されてしまうとデータの流通を防ぐことは難しい。
【0007】
なお、特許文献1には、機密文書管理装置が、文書処理装置から受信したイメージ画像やイメージ画像から抽出した特徴量およびテキスト情報にて画像インデックスを検索し、処理対象画像と完全に一致するだけでなく、処理対象画像と部分的に一致する所定のしきい値を超える類似度の登録データがある場合にも当該処理対象画像を機密文書と判定する旨が記載されている。しかし、特許文献1に部分一致の判定手法について具体的な記載はなく、例えば、処理対象ファイルの一部と、機密文書として登録された文書ファイルの一部とが一致していた場合にそれを検出できるかどうかは定かではない。あくまで機密文書として登録された印刷文書や文書ファイル単位に類似度を算出して判定を行う場合、一致するか否かがファイル全体に占める類似部分の割合に応じて異なるといったことも考えられる。
【0008】
また、特許文献1に記載されている文書処理システムでは、自装置が画像の入出力処理の開始を検知した場合にその処理対象画像のイメージ画像等を機密文書管理装置に送信する方法をとっているため、利用者が使用する端末全てに画像の入出力の監視用プログラム等をインストールしなければ、秘密情報を含んだ画像データの流出を防ぐことができないといった問題もある。
【0009】
そこで、本発明は、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことが可能な秘密資料の流出を防止するための秘密資料流出防止システム、判定装置、秘密資料流出防止方法および秘密資料流出防止プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明による秘密資料流出防止システムは、秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する保護対象ファイルデータ入力手段と、入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、画像変換手段によって得られる所定単位別の画像データ各々から、特徴量を抽出する特徴量抽出手段と、保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、外部機器への出力要求がされたファイルである出力対象ファイルを入力する出力対象ファイルデータ入力手段と、出力対象ファイルデータ入力手段により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、保護対象ファイル情報記憶手段に記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する判定手段とを備えたことを特徴とする。
【0011】
また、本発明による判定装置は、外部機器への出力要求がされたファイルである出力対象ファイルのファイルデータから変換される所定単位別の画像データであって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位別の画像データ各々から特徴量を抽出し、抽出された各画像データの特徴量各々と、所定の記憶手段に秘密情報を含むとされるファイルである保護対象ファイルの情報として記憶されている、当該保護対象ファイルのファイルデータから変換される所定単位別の各画像データから抽出された特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する判定手段を備えたことを特徴とする。
【0012】
また、本発明による秘密資料流出防止方法は、秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶しておき、外部機器への出力要求がされたファイルである出力対象ファイルを入力し、出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定することを特徴とする。
【0013】
また、本発明による秘密資料流出防止プログラムは、秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象フィル情報記憶手段を備えた、または保護対象フィル情報記憶手段にアクセス可能なコンピュータに、外部機器へのファイルデータの出力要求が検知されると、検知された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する処理を実行させることを特徴とする。
【発明の効果】
【0014】
本実施例によれば、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことができる。
【図面の簡単な説明】
【0015】
【図1】本発明による秘密資料流出防止方法を適用した資料管理システムの構成例を示すブロック図である。
【図2】(A)は、文書DB34に記憶される文書情報の例を示す説明図であり、(B)は、特徴量DB35に記憶される特徴量情報の例を示す説明図である。
【図3】本実施形態の資料管理システムの動作(資料作成動作)の一例を示すシーケンス図である。
【図4】本実施形態の資料管理システムの動作(複製資料添付メール送信動作)の一例を示すシーケンス図である。
【図5】画像データ間の同一性判断対象の例を示す説明図である。
【図6】本発明の概要を示すブロック図である。
【図7】本発明による秘密資料流出防止システムの他の構成例を示すブロック図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施形態を図面を参照して説明する。図1は、本発明による秘密資料流出防止方法を資料管理システムに適用した場合の構成例を示すブロック図である。図1に示す資料管理システムは、資料作成者端末10と、資料複製者端末20と、文書管理サーバ30と、特徴量抽出サーバ40と、判定サーバ50と、メールサーバ60とを備える。また、これらの資料作成者端末10、資料複製者端末20、文書管理サーバ30、特徴量抽出サーバ40、判定サーバ50、メールサーバ60は、プログラム制御により動作するサーバ装置またはパーソナルコンピュータ、携帯端末装置等の情報処理装置であって、インターネット等のネットワーク100を介して相互に接続されている。
【0017】
資料作成者端末10は、パーソナルコンピュータ等の情報処理装置であり、ユーザ操作に応じて文書管理サーバ30にアクセスして、PowerPointやPDF形式のファイルデータをネットワーク100を介して送信することによって資料を作成する。
【0018】
資料複製者端末20は、パーソナルコンピュータ等の情報処理装置であり、ユーザ操作に応じて文書管理サーバ30にアクセスしてPowerPointやPDF形式のファイルデータを編集する。また、編集したファイルデータを添付した電子メールをネットワーク100を介して判定サーバ50に送信する機能を備えている。
【0019】
文書管理サーバ30は、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。文書管理サーバ30は、文書記録部31と、特徴量記録部32と、特徴量送信部33と、文書データベース(DB)34と、特徴量DB35とを含む。
【0020】
文書記憶部31は、資料作成者端末10から受信したファイルデータの文書情報341を文書管理DB34に記録する。特徴量記録部32は、ファイルデータから抽出された特徴量の特徴量情報351を特徴量DB35に記録する。特徴量送信部33は、特徴量DB35に記憶された特徴量情報を参照して、ネットワーク100を介して判定サーバ40に送信する。
【0021】
文書DB34は、文書情報341を記憶するデータベースである。特徴量DB35は、特徴量情報351を記憶するデータベースである。
【0022】
図2(A)は、文書DB34に記憶される文書情報341の例を示す説明図であり、図2(B)は、特徴量DB35に記憶される特徴量情報351の例を示す説明図である。図2(A)に示すように、文書情報341は、文書ファイルを識別するための文書コードと、ファイル名と、ファイルデータと、作成者と、作成日とを含んでいてもよい。すなわち、文書情報341は、文書コードと、当該文書ファイルのファイルデータと、当該文書ファイルのメタデータとであってもよい。なお、本実施形態において、保護対象の文書ファイルは、機密とする情報が含まれうるファイルであればよく、ファイル形式は問わない。また、各ファイルは、文字情報を含んでいてもよいし、含んでいなくてもよい。なお、保護対象とする文書ファイルのファイル形式には、PowerPoint(登録商標)やPDFファイルといった外部に対して内容をイメージで出力するような形式のファイルや、データ内容に図や数式といったテキスト以外の情報を含みうるようなファイル形式を含んでいることがより好ましい。
【0023】
また、図2(B)に示すように、特徴量情報351は、特徴量データを識別するための特徴量コードと、特徴量の抽出元となった文書ファイルの文書コードと、特徴量の抽出対象範囲を識別するための識別情報としてのページ番号と、実際に抽出された特徴量を示す特徴量データとを含んでいてもよい。本発明では、特徴量は、ファイルをアーカイブする時に、後述する特徴量抽出サーバ40によってスライド毎、ページ毎、ブック毎といった当該ファイルの所定の区切り単位毎に抽出される。なお、ファイルデータから識別可能な範囲において、ページ毎と、図面毎といったように複数の異なる単位を特徴量抽出単位として設けることも可能である。特徴量抽出単位は、少なくとも当該ファイルのデータを区切るために用いられる区切り単位をその一つに含むものとする。これにより、ファイルデータの網羅性を確保する。区切り単位として、例えば、ユーザの利用態様を考慮し、当該ファイルを印刷する際に当該ファイルの出力イメージを区切るために標準的に用いられる単位の中から区切られた際の印刷領域が最も小さくなる単位(以下、標準出力最小単位という)としてもよい。以下、本実施形態では、ページ毎に特徴量を抽出する場合を例に説明している。
【0024】
特徴量抽出サーバ40は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。特徴量抽出サーバ40は、画像変換部41と、特徴量抽出部42と、記録部43と、特徴量送信部44とを含む。
【0025】
画像変換部41は、判定サーバ50から受信したファイルデータを所定の区切り単位で画像ファイルに変換する。特徴量抽出部42は、画像変換部41によって変換された各画像ファイルの特徴量をビデオシグネチャ技術を利用して抽出する。記憶部43は、特徴量抽出部42によって抽出された特徴量を格納する。特徴量送信部44は、記録部43に格納された特徴量をネットワーク100を介して文書管理サーバ30、判定サーバ50に送信する。
【0026】
判定サーバ50は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置である。判定サーバ50は、ファイル抽出部51と、特徴量参照部52と、比較部53と、判定部54と、記録部55とを含む。
【0027】
ファイル抽出部51は、資料複製者端末20から受信した電子メールの添付ファイルデータを抽出する。特徴量参照部52は、文書管理サーバ30にネットワーク100を介してアクセスして特徴量DB35を参照(取得)する。比較部53は、特徴量参照部52が参照した特徴量と記録部55に格納された特徴量とを比較する。判定部54は、比較部53による比較結果からメールの送信可否を判定し、資料複製者端末20またはメールサーバ60に処理を指示する。記録部55は、ファイル抽出部51により抽出された添付ファイルデータの特徴量を格納する。
【0028】
メールサーバ60は、例えば、データセンタなどクラウド環境に設置されているワークステーション・サーバ等の情報処理装置であって、判定サーバ50から送信が許可された電子メールを配信する。
【0029】
次に、本実施形態の動作について説明する。図3および図4は、本実施形態の資料管理システムの動作の一例を示すシーケンス図である。なお、図3が本システムによる資料作成動作の一例を示すシーケンス図であり、図4が本システムによる複製資料添付メール送信動作の一例を示すシーケンス図である。
【0030】
まず、資料作成動作について説明する。図3に示す例では、まず、資料作成者が、資料作成者端末10を操作して、文書管理サーバ30に新規文書ファイルAの文書情報(ファイル名、ファイルデータ、作成者、作成日など)を送信する(ステップA1)。
【0031】
資料作成者端末10は、例えば、ユーザ操作に応じて新規文書情報登録用のURLにアクセスしてもよい。文書管理サーバ30では、これに応答して、文書情報登録画面データを資料作成者端末10に送信する。そして、資料作成者端末10が、受信したデータから画面文書情報登録画面を表示し、表示された文書情報登録画面に対するユーザ操作に応じて、文書ファイルAの文書情報を文書管理サーバ30に送信してもよい。
【0032】
文書サーバ30の文書記録部31は、資料作成者端末10から文書情報を受信すると、ファイルデータを特徴量抽出サーバ40に送信する(ステップA2)。その際、当該ファイルデータがどのファイルのファイルデータなのかを識別するために文書コード(ここでは、当該ファイルを登録対象ファイルとして識別可能な文書コード)を割り当てて、割り当てた文書コードとともに送信してもよい。
【0033】
特徴量抽出サーバ40では、画像変換部41が、受け取ったファイルデータを1ページ単位の画像データ(JPEG形式等)に変換する(ステップA3)。文書ファイルのファイルデータを画像データに変換する方法は、例えば、PowerPointの機能やPDFファイルをイメージ化する既存のソフトウェアなどを用いて、対象ファイルの各ページの印刷画像の画像データを生成してもよい。画像変換部41は、変換によって得られたページ別の画像データを一時的に記録部43に格納する。なお、複数の単位が特徴量抽出単位として設けられている場合には、それぞれの単位に合わせて画像データに変換すればよい。例えば、定められた区切り単位毎に画像データに変換した後で、その画像データを画像認識し、図面や表とみられる領域が検出された場合にはその領域の画像データを図面別の画像データや表別の画像データとして生成するといったことも考えられる。
【0034】
次いで、特徴量抽出部42は、画像変換部41によって得られたページ別画像データからそれぞれ特徴量を抽出し、ページ番号と特徴量データとを対応づけて特徴量情報にして記録部43に格納する(ステップA4)。
【0035】
特徴量の抽出方法として、本発明では、ビデオシグネチャ技術を用いる。ビデオシグネチャ技術として、例えば、特願2009−012810に記載された技術を用いてもよい。より具体的には、1つの画像データについて、当該画像データで表される画像(表示イメージ)をさまざまな大きさや形状の領域に分割して領域の特徴量を抽出し、領域同士の領域特徴量の比較結果を量子化した量子化インデックス(画像識別子)を複数の次元で求めたものを当該画像を識別するための特徴量としてもよい。なお、領域特徴量として、例えば、輝度値の平均値やRGB成分の平均ベクトル、エッジの方向分布を表す5ビンのヒストグラムが挙げられる。なお、特徴量抽出部42は、各画像データで表される画像のサイズが異なる場合には、各画像データで表される画像のサイズが一定になるように、画像データに対して画像サイズの調整処理(画像の拡大または縮小処理)を施した上で、特徴量を抽出してもよい。なお、画像サイズの調整処理は、画像変換部41が画像データに変換する際に行ってもよい。
【0036】
このようにして文書ファイルAについての特徴量情報が生成されると、特徴量送信部44は、生成した特徴量情報を、要求元である文書管理サーバ30に送信する(ステップA5)。
【0037】
文書管理サーバ30では、特徴量記録部32が、特徴量抽出サーバ40から登録対象ファイルについての特徴量情報を受信すると、当該特徴量情報について特徴量コードを新たに割り当てて、文書コードによって文書情報341と特徴量情報351とを紐付けつつ、それぞれ文書DB34と特徴量DB35に記録する(ステップA6)。このようにして、本システムが保護対象とする文書ファイルの情報を文書管理サーバ40に格納していく。
【0038】
次に、図4を参照して、本システムによる複製資料添付メール送信動作について説明する。図4に示す例では、資料複製者が、資料複製者端末20を操作して、文書ファイルAの一部を画像として文書ファイルBにコピーする(ステップB1)。さらに、資料複製者は、資料複製者端末10を操作して、文書ファイルBを添付した電子メールを送信する(ステップB2)。
【0039】
資料複製者端末20は、例えば、ユーザ操作に応じて、文書ファイルAの一部を画像としてコピーし、文書ファイルBに貼り付けて保存する。そして、ユーザ操作に応じて、保存した文書ファイルB(文書ファイルAの内容の一部を画像情報として含むファイル)を添付した電子メールを作成し、ユーザからの送信指示に応じてメールサーバ60に向けて送信する。
【0040】
このとき、本実施形態では、資料複製者端末20によるメールサーバ60への電子メール送信要求メッセージを判定サーバ50がまず受信する。例えば、内部ネットワークから外部ネットワークへの中継を行うプロキシサーバの設定によって判定サーバ50に転送されるようにしてもよい。なお、メールサーバ60に先だって受け取る態様の他に、メールサーバ60から送信可否の判定を依頼する形で転送する態様でもよい。換言すると、システムが備えるネットワークノードにおいて、ファイルデータまたは画像データを外部ネットワーク宛てに送信する要求を検知する外部出力要求検知手段を備えていればよい。なお、ネットワークを介したデータ送信に限らず、外部機器(認証されていない周辺機器等)へのデータ出力をも監視対象に含める場合には、端末上で動作するソフトウェアに、外部機器へのデータ出力要求を検知する外部出力要求検知手段を実装してもよい。
【0041】
判定サーバ50のファイル抽出部51は、資料複製者端末10から受信した電子メールに添付された文書ファイルB(出力対象ファイル)ファイルデータを抽出し、特徴量抽出サーバ30に送信する(ステップB3)。その際、文書ファイルBのファイルデータとともに、当該ファイルに対して新たに割り当てた文書コード(当該ファイルを出力文書として識別可能な文書コード)を送信してもよい。
【0042】
特徴量抽出サーバ40では、まず画像変換部41が、判定サーバ50から受け取ったファイルデータを、例えば1ページ単位の画像データ(JPEG形式等)に変換する(ステップB4)。画像変換部41は、変換によって得られたページ別の画像データを、一時的に記録部43に格納してもよい。次いで、特徴量抽出部42は、画像変換部41によって得られたページ別画像ファイルからそれぞれ特徴量を抽出して特徴量情報(この時点では、ファイルデータの文書コードと、各ページのページ番号と特徴量データとを含んでいればよい)を生成し、記録部43に格納する(ステップB5)。このようにして文書ファイルBについての特徴量情報が生成されると、特徴量送信部44は、生成した特徴量情報を、要求元である判定サーバ50に送信する(ステップB6)。
【0043】
判定サーバ50では、特徴量抽出サーバ40から出力対象ファイルについての特徴量情報を受信すると、受信した特徴量情報を一旦記録部55に格納した上で、参照部52が、文書管理サーバ40にアクセスし、特徴量DB35に格納されている各文書ファイル(保護対象ファイル)についての特徴量情報を参照する(ステップB7)。
【0044】
判定部54は、記録部55に格納されている判定対象である文書ファイルB(出力対象ファイル)についての特徴量情報に含まれている各ページの特徴量データそれぞれと、参照部52により参照された各保護対象ファイルについての特徴量情報に含まれている各ページの特徴量データそれぞれとを比較する(ステップB8)。なお、本実施形態では、参照処理と比較処理とが最終的に全ての保護対象ファイルに対して行われればよく、保護対象ファイルを一括参照するか順次参照するかは問わない。
【0045】
図5は、画像データ間の同一性判断対象の例を示す説明図である。なお、図5では、出力対象ファイルの画像データとして2つの画像データが生成された場合を例示している。また、保護対象ファイルとして2つのファイル(保護対象ファイル1、2)が文章DB34に登録されており、保護対象ファイル1の画像データとして3つの画像データが生成され、保護対象ファイル2の画像データとして1つの画像データが生成された場合を示している。図5に示す例では、判定部54は、出力対象ファイルの各画像データと、保護対象ファイル1、2の各画像データとの間で、計8パターンの組み合わせの画像データの同一性判断処理が行われることになる。
【0046】
ステップB8において、一致する特徴量データが1つでも存在場合、すなわち出力対象ファイルのあるページの画像データと全ての保護対象ファイルのあるページの画像データとの間で画像の同一性があると判断される程度に特徴量データが一致した場合には、判定部54は、出力対象ファイルに機密情報が含まれていると判断して、当該ファイルの出力処理を行った資料複製者端末20に警告画面を表示する(ステップB9)。特徴量データに基づく画像の同一性判断の具体的方法としては、例えば、特徴量として上述のビデオシグネチャ技術により求まる複数の次元の量子化ベクトルを用いる場合には、各次元での量子化インデックス値を比較し、画像データ全体での不一致指数(不一致の次元数や各次元での差分値の合計等から求める値)が所定の閾値%以内であれば同一性が認められるとしてもよい。
【0047】
一方、一致する特徴量データが存在しなかった場合、判定部54は、出力対象ファイルに機密情報が含まれていないとして、当該ファイルを添付した電子メールを本来の送信先であるメールサーバ60に送信する(ステップB10)。メールサーバ60より送信可否の問い合わせという形式で出力対象ファイルのファイルデータを受信していた場合には、判定部54は、問い合わせ元であるメールサーバ60に送信可の旨の応答を送信してもよい。
【0048】
メールサーバ60は、判定サーバ50から受信した電子メール、すなわち送信が許可された電子メールを配信する(ステップB11)。
【0049】
以上のように、本実施形態によれば、文書ファイルの利用者や管理者の手間を掛けずに、秘密情報を含んだデータの流出をより堅固に防ぐことができる。登録側と出力側のファイルそれぞれについて所定の区切り単位で画像データに変換し、各画像データ間の同一性を判断するからである。さらに、各画像データ間の同一性の判断方法にビデオシグネチャ技術を利用して抽出した特徴量を使用することで、テキストによるキーワード検索では検出されないような画像データの再利用を高い検出率で検出することができる。例えば、一部に加筆があったり、ページ内の1図面のみがコピーされたというようなページ全体の内容としては完全には一致していない場合であっても、高い検出率でデータの再利用を検出することができる。
【0050】
なお、上記実施形態では、ファイル出力方法の例として、電子メールに添付して送信する例を示したが、ファイル出力方法は当該方法に限らず、ネットワークノードにおいてファイルまたは画像データが外部に出力されることを認識できるようなプロトコルであれば、同様の方法により適用可能である。例えば、FTPによるファイル転送や、データ要素に画像データを含むよう記述されたHTMLデータの送信であってもよい。
【0051】
また、上記実施形態では、特徴量の比較において、全保護対象ファイルを対象とする例を示したが、例えば、保護対象ファイルのデータ再利用時(例えば、文書ファイルからデータをコピーして貼り付けるする際)に文書コードを記憶する仕組みを有している場合には、出力対象ファイルに利用元(コピー元)ファイルとして記憶のある保護対象ファイルのみを比較対象とすることも可能である。
【0052】
次に、本発明の概要について説明する。図6は、本発明の概要を示すブロック図である。図6に示すように、本発明による秘密資料流出防止システムは、保護対象ファイルデータ入力手段101と、画像変換手段102と、特徴量抽出手段103と、保護対象ファイル情報記憶手段104と、出力対象ファイルデータ入力手段105と、判定手段106とを備えている。
【0053】
保護対象ファイルデータ入力手段101(例えば、文書記録部31)は、秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する。
【0054】
画像変換手段102(例えば、画像変換部41)は、入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する。
【0055】
特徴量抽出手段103(例えば、特徴量抽出部42)は、画像変換手段102によって得られる所定単位別の画像データ各々から、特徴量を抽出する。
【0056】
保護対象ファイル情報記憶手段104(例えば、文書DB34)は、保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する。
【0057】
出力対象ファイルデータ入力手段105(例えば、ファイル抽出部51)は、外部機器への出力要求がされたファイルである出力対象ファイルを入力する。
【0058】
判定手段106(例えば、参照部52、比較部53、判定部54)は、出力対象ファイルデータ入力手段105により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、保護対象ファイル情報記憶手段104に記憶されている保護対象ファイルの所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの所定単位別の各画像データと、保護対象ファイルの所定単位別の各画像データとの間の画像の同一性を判断することにより、出力要求の許否を判定する。
【0059】
また、特徴量抽出手段は、ビデオシグネチャ技術を用いて画像データから特徴量を抽出してもよい。
【0060】
また、区切り単位として、標準出力最小単位を用いてもよい。また、区切り単位として、ページ単位、スライド単位またはブック単位を用いてもよい。また、特徴量の抽出単位とする所定単位として、複数の異なる単位を定めてもよい。
【0061】
また、図7に示すように、秘密資料流出防止システムは、さらに、当該システムが備えるネットワークノードにおいて、ファイルを添付した電子メールの送信要求を検知する外部出力検知手段107(例えば、メールサーバ60または図示しないプロキシサーバ)を備えていてもよい。
【産業上の利用可能性】
【0062】
本発明は、特に、故意または不注意による秘密情報の外部漏洩や盗用を防止する用途に好適に適用可能である。また、クラウド環境において秘密情報を含む文書ファイルを利用する形態において、好適に適用可能である。
【符号の説明】
【0063】
100 ネットワーク
10 資料作成者端末
20 資料複製者端末
30 文書管理サーバ
31 文書記録部
32 特徴量記録部
33 特徴量参照部
34 文書DB
35 特徴量DB
40 特徴量抽出サーバ
41 画像変換部
42 特徴量抽出部
43 記録部
50 判定サーバ
51 ファイル抽出部
52 参照部
53 比較部
54 判定部
55 記録部
101 保護対象ファイルデータ入力手段
102 画像変換手段
103 特徴量抽出手段
104 保護対象ファイル情報記録手段
105 出力対象ファイルデータ入力手段
106 判定手段
107 外部出力検知手段
【特許請求の範囲】
【請求項1】
秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する保護対象ファイルデータ入力手段と、
入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、
前記画像変換手段によって得られる前記所定単位別の画像データ各々から、特徴量を抽出する特徴量抽出手段と、
前記保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの前記所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、
外部機器への出力要求がされたファイルである出力対象ファイルを入力する出力対象ファイルデータ入力手段と、
前記出力対象ファイルデータ入力手段により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、前記保護対象ファイル情報記憶手段に記憶されている保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する判定手段とを備えた
ことを特徴とする秘密資料流出防止システム。
【請求項2】
特徴量抽出手段は、ビデオシグネチャ技術を用いて画像データから特徴量を抽出する
請求項1に記載の秘密資料流出防止システム。
【請求項3】
区切り単位として、標準出力最小単位を用いる
請求項1または請求項2に記載の秘密資料流出防止システム。
【請求項4】
区切り単位として、ページ単位、スライド単位またはブック単位を用いる
請求項1から請求項3のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項5】
特徴量の抽出単位とする所定単位として、複数の異なる単位を定める
請求項1から請求項4のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項6】
当該システムが備えるネットワークノードにおいて、ファイルを添付した電子メールの送信要求を検知する外部出力検知手段を備えた
請求項1から請求項5のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項7】
外部機器への出力要求がされたファイルである出力対象ファイルのファイルデータから変換される所定単位別の画像データであって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位別の画像データ各々から特徴量を抽出し、抽出された各画像データの特徴量各々と、所定の記憶手段に秘密情報を含むとされるファイルである保護対象ファイルの情報として記憶されている、当該保護対象ファイルのファイルデータから変換される前記所定単位別の各画像データから抽出された特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する判定手段を備えた
ことを特徴とする判定装置。
【請求項8】
秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶しておき、
外部機器への出力要求がされたファイルである出力対象ファイルを入力し、前記出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている前記保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する
ことを特徴とする秘密資料流出防止方法。
【請求項9】
秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象フィル情報記憶手段を備えた、または保護対象フィル情報記憶手段にアクセス可能なコンピュータに、
外部機器へのファイルデータの出力要求が検知されると、検知された出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている前記保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する処理
を実行させるための秘密資料流出防止プログラム。
【請求項1】
秘密情報を含むとされるファイルである保護対象ファイルのファイルデータを入力する保護対象ファイルデータ入力手段と、
入力されたファイルデータを、特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データに変換する画像変換手段と、
前記画像変換手段によって得られる前記所定単位別の画像データ各々から、特徴量を抽出する特徴量抽出手段と、
前記保護対象ファイルデータ入力手段によって入力された保護対象ファイルの情報として、当該保護対象ファイルの前記所定単位別の各画像データから抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象ファイル情報記憶手段と、
外部機器への出力要求がされたファイルである出力対象ファイルを入力する出力対象ファイルデータ入力手段と、
前記出力対象ファイルデータ入力手段により入力された出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、前記保護対象ファイル情報記憶手段に記憶されている保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する判定手段とを備えた
ことを特徴とする秘密資料流出防止システム。
【請求項2】
特徴量抽出手段は、ビデオシグネチャ技術を用いて画像データから特徴量を抽出する
請求項1に記載の秘密資料流出防止システム。
【請求項3】
区切り単位として、標準出力最小単位を用いる
請求項1または請求項2に記載の秘密資料流出防止システム。
【請求項4】
区切り単位として、ページ単位、スライド単位またはブック単位を用いる
請求項1から請求項3のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項5】
特徴量の抽出単位とする所定単位として、複数の異なる単位を定める
請求項1から請求項4のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項6】
当該システムが備えるネットワークノードにおいて、ファイルを添付した電子メールの送信要求を検知する外部出力検知手段を備えた
請求項1から請求項5のうちのいずれか1項に記載の秘密資料流出防止システム。
【請求項7】
外部機器への出力要求がされたファイルである出力対象ファイルのファイルデータから変換される所定単位別の画像データであって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位別の画像データ各々から特徴量を抽出し、抽出された各画像データの特徴量各々と、所定の記憶手段に秘密情報を含むとされるファイルである保護対象ファイルの情報として記憶されている、当該保護対象ファイルのファイルデータから変換される前記所定単位別の各画像データから抽出された特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する判定手段を備えた
ことを特徴とする判定装置。
【請求項8】
秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶しておき、
外部機器への出力要求がされたファイルである出力対象ファイルを入力し、前記出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている前記保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する
ことを特徴とする秘密資料流出防止方法。
【請求項9】
秘密情報を含むとされるファイルである保護対象ファイルの情報として、当該保護対象ファイルのファイルデータから変換された各画像データから抽出された特徴量であって特徴量の抽出単位として予め定められている少なくとも1つの区切り単位を含む所定単位の画像データ各々から抽出された特徴量を含む保護対象ファイル情報を記憶する保護対象フィル情報記憶手段を備えた、または保護対象フィル情報記憶手段にアクセス可能なコンピュータに、
外部機器へのファイルデータの出力要求が検知されると、検知された出力対象ファイルのファイルデータから当該出力対象ファイルの前記所定単位別の各画像データの特徴量を抽出し、抽出された特徴量各々と、記憶されている前記保護対象ファイルの前記所定単位別の各画像データの特徴量各々とを比較して、出力対象ファイルの前記所定単位別の各画像データと、保護対象ファイルの前記所定単位別の各画像データとの間の画像の同一性を判断することにより、前記出力要求の許否を判定する処理
を実行させるための秘密資料流出防止プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−182737(P2012−182737A)
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願番号】特願2011−45399(P2011−45399)
【出願日】平成23年3月2日(2011.3.2)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願日】平成23年3月2日(2011.3.2)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]